pentest member.amcc.or.id

  • 1
Setelah coffe break  , eh karna lagi bulan puasa , di ganti ding jadi setelah istirahat siang ini di kantor , masuk keruangan kerja lagi , salto salto bentar supaya pinggang agak enakan , setelah duduk , wah kok bingung mau ngerjain apa , kerjaan udah padahal selesai semua tinggal monitoring dan drop koneksi yang nakal , karna dari negara seberang (abang ladesh ahahahah) lagi seru serunya nyerang web di indonesia , mau gak mau mesti pertahanin web web client ane supaya gak kena peluru nyasarnya mereka.

gak kerasa 1 jam berlalu (halah gaya banget bahasanya) , kok bosen jg cuman mantengin log monitoring , gak ada serangan yg berarti ke website klien , karena memang sebelumnya sudah saya pasangin "baju besi" semua hahaha , iseng iseng pesbukan , liat home pesbuk ada yang share link yang mengarah ke sini http://member.amcc.or.id/index.php?p=detailberita&id=3 , wah mantap dah amikom udah ada sosialisasi tentang sqli , teknik sqli ini mulai dari jaman ane baru lahir di dunia maya sampe sekarang, masih jadi teknik yang paling sering di pake dan menjadi teknik yg paling banyak jenisnya , salah satu jenisnya yg lumayan terkenal juga namanya sqli blind ,, ya! bener sekali, sqli "buta" , jadi kalo ente mau inject web , pertama-tama mata ente di colok dulu ahahha (kidding) , ntah itu heker,kreker atau kardiman , kalau om kardiman ini biasanya buat nge dump kartu kredit di database buat belanja2 online ,, man ,, mann ,, tobat mann , kiamat udah deket hahahah .

dan setelah membaca artikel itu , saya bergumam dalam hati (aduh setiap paragrap baru bahasa ane tiba-berubah ahahaha) , pasti ini webnya amcc aman dari sqli , langsung saya coba lah buat memastikanya , untung saya masih punya ilmu-ilmu itu dikit sewaktu jaman masih muda  (oke mbah ahahah) , dan ternyata ?? , yah seperti tebakan kalian dan seperti judul postingan ini kalian pasti udah tau jawabanya , nah kalau udah tau buat apa di lanjutin postingan ini ?? udah-udah bubar sana aahhaha. pengen sih ngejelasin proof of concept-nya tapi ntar di kira blog ini ngajarin yang gak baik dan bakalan merusak image saya sang author yang sudah terkenal polos dan rajin menabung (halaah..), langsung saya kasih aja sedikit cuplikanya dan semoga sang ngadimin "a em ceh ceh dot or dot ai di" langsung bisa mbaikin webnya :D , your site is safe , i not damage anything , just dump some file for proof :p " let's check it out ! *inglis blepotan* ahahah

Database version : MySql 5.1.68-cll-lve
user database : amccorid_dibyo
Nama database : amccorid_divisi
Table :
[12 tables]
+-----------+
| agenda    |
| anggota   |
| berita    |
| divisi    |
| gathering |
| info      |
| jurusan   |
| kelompok  |
| materi    |
| member    |
| member2   |
| seminar   |
+-----------+

Table: member
[11 columns]
+-------------+---------------+
| Column      | Type          |
+-------------+---------------+
| asaljurusan | varchar(50)   |
| harapan     | text          |
| hp          | varchar(15)   |
| id_divisi   | int(1)        |
| id_jurusan  | int(1)        |
| kelas       | varchar(20)   |
| laptop      | enum('Y','N') |
| materi      | varchar(200)  |
| nama        | varchar(50)   |
| nim         | char(10)      |
| sekolah     | varchar(50)   |
+-------------+---------------+

yup ane gak bakal dump dan publish semua isi dan webnya cuma beberapa aja buat proof  *i'm not devil as you think* hehe :D
nah ini yang di tunggu-tunggu :))
check at this link : http://log.fosslink.net/amcc.html
silahkan di cek nimnya satu-satu di sini http://www.amikom.ac.id/index.php/status/
kalo ada yang cantik atau ganteng , tinggal liat no hp-nya ada di sana juga hahaha
kabur aah dari pada di timpukin orang se "a em ce ceh".

footnote: ini cuman buat iseng-iseng berhadiah dan inti utamanya buat ngelaporin ada bug di web itu , karena ane gak punya kontak ke ukm tersebut, gak ada yang saya rusak sedikitpun, yaudin begini aja :D.

jurus menghilang *cling*

1 comment: